logo
ang-top-sx   ang-top-dx
   




  

ang-bot-sx   ang-bot-dx
studio collaboratori pareri dello studio aree di attività dove siamo
ang-top-sx   ang-top-dx
  pareri dello studio

Viene richiesto parere giuridico-legale al fine di esaminare e valutare la possibilità di utilizzo dei sistemi di crittografia informatica
Viene richiesto parere giuridico-legale al fine di esaminare e valutare la possibilità di utilizzo dei sistemi di crittografia informatica, e segnatamente quelli attivati con metodo cripto-dinamico, nelle telecomunicazioni “non in voce” – ovverosia per l’invio di sms ( Short Message Service) ed mms ( Multimedia Messaging Service ), nonché nelle comunicazioni telematiche, quali corrispondenza per e-mail, invio e trasferimento per via web di files informatici creati in qualsiasi formato. Ci viene anche richiesto di estendere la disamina degli aspetti legislativi, regolamentari e legali, alla possibilità d’utilizzo della criptodinamica per il settore della editoria digitale ed in particolare per il trasferimento e la vendita ad utenti e-book di testi in formato digitale.
Ci viene premesso:
  • la società richiedente intende avviare una start up nel settore dell’information tecnology, per la commercializzazione di servizi informatici e di telecomunicazione, consistenti nella generazione e la vendita di <<chiavi cripto-dinamiche>>, funzionali alla cifratura di sms – mms, e-mail e files,  sotto qualsiasi formato, anche per l’ e-book.
  • la società committente ha elaborato una propria <<tecnologia>> fondata su algoritimo, consistente in un sistema originale ed innovativo di generazione e decriptazione delle chiavi crittografiche e, per tale invenzione, ha in corso procedura PCT internazionale – patent pending.

* * *

  Il parere avrà quindi ad oggetto:

  1. La compatibilità delle normative nazionali ed internazionali, nonché gli orientamenti ed i regolamenti, in particolare CE, con l’utilizzo di tecniche crittografiche e con la “cripto dinamica” nelle << telecomunicazioni non in voce>> sms - mms
  2. La compatibilità delle normative, sempre nazionali ed internazionali rispetto alle tecniche “cripto-dinamiche” di trasferimento di files nelle <<comunicazioni telematiche>> - e-mail e corrispondenza su social platform
  3. La compatibilità delle normative nazionali ed internazionali in relazione al trasferimento informatico di testi editi o inediti, già riferibili alla tutela riconosciuta agli Autori ( diritto d’autore ).

1 - Il sistema oggetto di analisi

Il sistema inventato e predisposto dalla committente è un sistema crittografico centralizzato; esso è in grado di aggiungere alla cifratura di una informazione alcuni parametri che possono poi essere utilizzati per porre condizioni e per gestire a piacimento l’utilizzo delle informazioni, siano esse veicolate attraverso  telecomunicazione non in voce che per comunicazione telematica via web

La cifratura è di tipo simmetrico e la società precisa ed evidenzia nella propria richiesta di parere, con chiave non ruperiore a da 56 bit  (La rilevanza di tale precisazione sarà presto innanzi spiegata).

Il termine “dinamica” nell’accezione più tradizionale e comune indica e comporta che venga generata una chiave per ogni evento, cosa ad esempio che non succede nel caso della firma digitale dove le due chiavi – asimmetriche - sono fisse ed immutabili e associate ad una determinata persona fisica.

Nel nostro caso l’informazione cifrata viene assoggettata a parametri aggiuntivi, e quindi ad un comportamento variabile nel tempo, perciò <<dinamico>>. Proprio per tali originali ed innovative caratteristiche il sistema utilizza un algoritmo di cifratura nuovo suscettibile di brevetto, così come il sottostante e preordinato database.

Il sistema è centralizzato nel senso che il potenziale utente si collega ad esso per cifrare il proprio documento (ottenendone la chiave attraverso una comunicazione gestita tramite protocollo di sicurezza SSL – Secure Sockets Layer) e per impostare il corredo di parametri aggiuntivi che ritenga adeguato alle proprie necessità.

Si tratta, dunque, di un complesso creativo originale ed innovativo assai particolare da non confondere con i sistemi PEC e di firma digitale i quali sono tutt’altra cosa e vengono di solito regolati da una diversa disciplina che sia a livello europeo, sia territoriale, è in genere completa; nondimeno ha diverso approccio regolamentare, politico e di controllo, in generale, nella Comunità Internazionale.

                                                                      ***

2 - Compatibilità della Criptodinamic con la normativa in tema di esportazione di prodotti e tecnologie a <<duplice uso>>  nella Comunità Europea e da questa verso il suo esterno.

Il primo documento potilitco in materia, sul piano internazionale, fu il Wassenaar Arrangement, primo accordo multilaterale, a carattere globale, che intervenne sui criteri e sull’approccio della comunità internazione, verso tecnologie sensibili a <<doppio uso>>, civile e militare, in un unico contesto valutativo, con l’export di armi convenzionali e di beni doppiamente utilizzabili.  

Esso non fu diretto contro alcuno Stato in particolare, limitandosi ad attuare uno dei principi fondamentali delle Nazioni Unite: adoprarsi nella collaborazione internazionale e nello sviluppo tecnologico, ma con il comune impegno di combattere il terrorismo internazionale, contrastando con fermezza quei Paesi che adottano comportamenti di ostilità nei confronti della comunità internazionale.

Lo scopo primario perseguito dall’accordo fu, dunque, raccordare le esigenza di misure condivise - adottate politicamente prima e tradotte legislativamente poi - cercando di contrastare trasferimenti di armi o di tecnologie che potessero rafforzare operazioni, organizzazioni o Paesi di fatto operativi a favore del terrorismo compromettendo la stabilità e la pace internazionale.

Nella sua stesura finale parteciparono trentuno Paesi e, per l’esattezza, Argentina, Australia, Austria, Belgio, Canada, Repubblica Ceca, Danimarca, Finlandia, Francia, Germania, Grecia, Ungheria, Irlanda, Italia, Giappone, Lussemburgo, Olanda, Nuova Zelanda, Norvegia, Polonia, Portogallo, Repubblica di Corea, Romania, C.S.I., Repubblica Slovacca, Spagna, Svezia, Svizzera, Turchia, Regno Unito e Stati Uniti d’America. In seguito aderirono anche Bulgaria ed Ucraina.

La crittografia, nel Wassenaar Arrangement, in linea di massima, ma con talune  molto precise,  significative e dirimenti eccezioni, viene giudicata e classificata come dual-use good, per via della sua ambivalenza nell’utilizzo, quale mezzo di protezione della privacy e quale possibile strumento offensivo e perciò “bellico”. Pertanto sia la crittografia in sé, che le tecnologie preordinate al suo utilizzo vengono ricomprese nella <<lista>> dei beni e delle tecnologie a duplice uso - segnatamente nella Categoria 5, parte 2, “Information security”

Tale categoria annovera sia i prodotti hardware che quelli software

Vengono, invece, sottratti al controllo sulle esportazioni, costituendo dunque proprio quelle particolari eccezioni volute dal consesso di Wassenaar, alcune fattispecie che fanno eccezione: i prodotti elencati nel punto 5.A.2. tra i quali, come in prosieguo si espliciterà dettagliatamente, possono – salvo specifica inibizione degli Stati- essere fatti rientrare i prodotti informatici connessi con la “cripto dinamica”. 

Il terreno politico e concettuale, che non fu affatto avulso da valutazione tecniche, su cui si proiettarono le posizione della comunità internazionale di Wassenaar, fu tale da far conseguire, in via generale, la liberalizzazione delle esportazioni e della commercio di software di massa o di dominio pubblico; la disciplina derivò dalla previsione generale contenuta nell’accordo, e che è passata alla storia con il nome di General Software Note

In particolare la previsione prevede la libera esportazione di tutti i prodotti crittografici a chiave simmetrica fino a 56 bit, e di quelli a chiave asimmetrica fino a 512 bit; essa prevede anche la libera esportazione di tutti i prodotti basati su crittografia ( indipendenti da chiavi ) fino a 112 bit. 

In particolare l’Arrangement adotta un sistema dispositivo escludente: concede la libera esportazione del software crittografico di massa e degli hardware basati su chiavi ( con i limiti sopra indicati ); concede inoltre la libera esportazione di prodotti che utilizzino sistemi crittografici per la protezione della proprietà intellettuale. L’esportazione di tutto quanto non specificato nell’elenco del punto 5.A.2.  è invece soggetta al rilascio di una autorizzazione. 

Non tutti gli Stati membri del Wassenaar Arrangement, tuttavia, accettarono le disposizioni contenute nella General Software Note, ed in particolare Australia, Francia e Nuova Zelanda continuano a controllare l’esportazione di software crittografico, anche se esso è “di massa” o di “dominio pubblico”. 

Tuttavia, le previsioni del Wassenaar Agreement che fu solo accordo politico e non Trattato, necessitano di essere recepite negli ordinamenti dei singoli Stati aderenti, mediante proprie disposizioni normative. Le leggi interne possono a loro volta sia integrare che limitare i termini di tal genere di accordi.

Negli Stati partecipanti e coinvolti al pannel, si sono registrate normative diverse sul piano nazionale, come si sono avuti anche regolamenti e direttive in ambito Europeo. 

Appare di rilievo, innanzitutto il Regolamento CE n. 1334/2000, da ultimo modificato dal Regolamento CE n.1167/2008. Stati come l’Italia, ad esempio, si sono allineati con il proprio diritto interno, con D.Lgs. n. 96/2003 e Decreto 4 agosto 2003 (pubblicato nella Gazzetta Ufficiale del 1° settembre 2003 n. 202) e così hanno fatto Paesi come la Francia l’Inghilterra e la Germania. 

Tuttavia le normative interne agli Stati UE, appaiono oggi superate dal Regolamento CE n. 428/2009 del 5 maggio 2009 il quale ha istituito un chiaro regime comunitario di controllo delle esportazioni, del trasferimento, dell’intermediazione e del transito di prodotti a duplice uso.

Ad oggi, dunque, è applicabile direttamente nei Paesi dell’Unione Europea, quindi anche in Italia, il citato Regolamento CE n. 428/2009. 

Si rammenta, infatti, che caratteristica essenziale dei Regolamenti comunitari è la loro diretta applicabilità nei territori nazionali, differentemente delle Direttive, le quali non necessitano di alcun atto di recepimento o di attuazione. 

La diretta applicabilità, tuttavia, non esclude che gli Stati possano intervenire con dei provvedimenti integrativi o d’esecuzione del regolamento stesso (questo può verificarsi qualora ad esempio agli Stati membri sia demandato di stabilire l’entità delle sanzioni o altri oneri). Essi però restano obbligatori e vincolanti in ogni loro elemento (obbligatorietà integrale), nel senso che gli Stati membri hanno l’obbligo di applicarli integralmente, senza deroghe o modifiche di sorta.

I giudici nazionali sono tenuti ad applicare direttamente i regolamenti comunitari, eventualmente anche al posto delle disposizioni interne incompatibili. Ciò detto e rilevato, occorre ripetere che la tecnologia di criptazione, comportante cifratura di documenti e loro scomparsa o apertura programmata, può di certo in astratto essere fatta rientrare tra le tecnologie a doppio suo, civile e militare di cui al Regolamento CE n. 428/2009. Quindi, l’utilizzo o, se si voglia, le esportazioni/importazioni connesse alla “criptodinamica” sono sottoponibili, al Regolamento CE n. 428/2009 nei Paesi della Comunità ed in relazione a questa estesa e specifica lettera regolamentare occorre ora esaminare due distinte ipotesi, per delineare la disciplina applicabile in concreto.

Ipotesi n. 1 

Il Regolamento si occupa dei beni - sistemi, apparecchiature e componenti - di crittografia nell’ambito dell’Allegato I – Categoria 5 “Telecomunicazioni e sicurezza dell’informazione” - Parte 2 “Sicurezza dell’informazione” – pagg. 167-174.

Alla nota n. 3, pag. 167, si legge nello specifico:

nota di crittografia:

5A002 e 5D002 non sottopongono ad autorizzazione i beni che soddisfano tutte le condizioni seguenti:

  1. siano generalmente disponibili al pubblico in quanto venduti direttamente, senza restrizioni, nei punti di vendita al dettaglio, in uno dei seguenti modi:

  2. 1. al banco,

    2. per corrispondenza,

    3. per transazione elettronica o

    4. su ordinazione telefonica;

  3. la funzionalità crittografica non possa essere modificata facilmente dall’utilizzatore;

  4. siano progettati per essere installati dall’utilizzatore senza ulteriore significativa assistenza da parte del fornitore, e

  5. ove necessario, informazioni dettagliate relative ai beni siano accessibili e vengano fornite, su richiesta, alle autorità competenti degli Stati membri in cui è stabilito l’esportatore, al fine di verificare il rispetto delle condizioni di cui alle precedenti lettere da a. a c.

  • Procediamo con la disamina della fattispecie e del prodotto cripto dinamico SMS - MMS

Esso è un breve messaggio non superiore a 140 caratteri, veicolato “ non in voce”- quindi non incontra i limiti e le giuste inibizioni verso la crittografia della “voce” e delle conversazioni – che si sostanzia in una forma sintetica di “ corrispondeza” tra privati.

Nel caso specifico del prodotto sms cripto dinamico si ha la vera e propria creazione e spedizione di una “ busta” () per via telefonica, contenente lo scritto che solo la chiave cripto dinamica terrà in chiaro e quindi a conoscenza del destinatario.

Tale forma di corrispondenza e di trasferimento di dati appare riconducibile

I° alla forma della transazione elettronica

II° all’acquisto ed all’ordinazione telefonica ( del servizio di corrispondenza )

Quale ulteriore precisazione sulla ricorrenza dei presupposti della lettera a) “ la vendita avvienedirettamente, senza restrizioni” ( ndr nota n. 3 – Allegato I – Parte 2 del Regolamento CE n. 428/2009)

Procedendo con l’operazione interpretativa e valutativa della disposizione di cui alla lettera b) non può negarsi che la funzionalità crittografica non sia suscettibile d’esser modificata facilmente dall’utilizzatore.

Parimenti con la lettera c) le applicazioni sugli smrtphonessono progettate per essere installate dall’utilizzatore senza ulteriore significativa assistenza da parte del fornitore;

Nondimeno sussiste in via indiscussa il requisito di cui alla lettera d)

informazioni dettagliate relative ai beni saranno accessibili e verranno fornite, su richiesta, alle autorità competenti degli Stati membri in cui è stabilito l’esportatore.

La società committente ha infatti precisato che il sistema si caratterizza per avere la registrazione, la memorizzazione e la conservazione di tutte le chiavi generate, le quali vengono rese - contestualmente alla generazione - a disposizione sia dell’operatore telefonico, sia delle“ autorità competenti degli Stati membri in cui è stabilito l’esportatore”.

Da ciò può ragionevolmente coneguire che non sussista alcun obbligo di autorizzazione all’esportazione dei prodotti di cripto dinamica nella Comunità Europea, poiché:

  • Ricorrono non uno, ma ben due dei modi “esimenti” di veicolazione dei prodotti, di cui alla lettera a)

  • ricorre il requisito di cui alla lettera b)

  • ricorre il requisito della lettera c)

  • ricorre il presupposto di cui alla lettera d) 

Ragion per cui appare non revocabile in dubbio che i prodotti che la committente intende commercializzare rientrino nella Categoria 5 - Parte 2 – Allegato I del Regolamento – pagg. 167-174, - nota n. 3.

Sempre ai sensi della Categoria 5 - Parte 2 – Allegato I del Regolamento – pagg. 167-174, è esclusa l’autorizzazione anche per le apparecchiature di collaudo-ispezione-produzione, i software e le tecnologie esportabili in tema di “criptodinamica”.Ciò lo si evince chiaramente dalle restanti disposizioni della Categoria 5 - Parte 2 – Allegato I del Regolamento – pagg. 167-174:

5B2 Apparecchiature di collaudo, di ispezione e di produzione 5B002 Apparecchiature di collaudo, di ispezione e di ″produzione″ in materia di sicurezza dell’informazione, come segue:
  1. apparecchiature appositamente progettate per lo ″sviluppo″ o la ″produzione″ delle apparecchiature specificate in 5A002 o 5B002.b.;
  2. apparecchiature di misura appositamente progettate per la valutazione e la validazione delle funzioni di″sicurezza dell’informazione″ delle apparecchiature specificate in 5A002 o del ″software″ specificato in5D002.a. o 5D002.c..

[…]

5D002 non sottopone ad autorizzazione i seguenti ″software″:
  1. il ″software″ necessario per l’″utilizzazione″ di apparecchiature non sottoposte ad autorizzazione nella notadel 5A002;
  2. il ″software″ che fornisce una delle funzioni delle apparecchiature non sottoposte ad autorizzazione nella notadel 5A002.

[…]

5E2Tecnologia

5E002″Tecnologia″ in conformità alla nota generale sulla tecnologia per lo ″sviluppo″, la ″produzione″ o l’″utilizzazione″ di apparecchiature specificate in 5A002, 5B002 o di ″software″ specificato in 5D002.a o 5D002.c..”

Da quanto ora detto consegue che, se le applicazioni della “criptodinamica” nelle telecomunicazioni per l’invio di corrispondenza – escluso ogni utilizzo in voce - SMS/MMS) manterranno tutte le caratteristiche su descritte, non risulta necessario approfondimento alcuno in ordine alla lunghezza di chiave dell’algoritmo simmetrico utilizzato (> o < a 56 bit) o alle ulteriori caratteristiche elencate sempre nella Categoria 5 - Parte 2 – Allegato I del Regolamento – pagg. 167-174, al fine della ricerca di discrimine per l’esclusione dall’obbligo dell’autorizzazione.

                                                                    * * *

Riteniamo tuttavia opportuno formulare prospettazione alternativa e subordinata, rispetto alla prima ipotesi, sia per il caso che non venga condivisa la natura dei prodotti e la peculiarità della loro veicolazione, che ne riconduce la fattispecie concreta, ad parere dell’adivisor, nelle condizioni escludenti, sia per il caso che la società committente decida di modificare i sistemi e le caratteristiche dei prodotti, non rivestendo più, dunque, tutte le condizioni esimenti dall’obbligo di autorizzazione.

Ipotesi n. 2

Il Regolamento si occupa dei beni (sistemi, apparecchiature e componenti) di crittografia noverandoli nell’Allegato I – Categoria 5 “Telecomunicazioni e sicurezza dell’informazione” - Parte 2 “Sicurezza dell’informazione” – pagg. 167-174.

Alla pag. 167, si legge nello specifico che sono sottosti ad autorizzazione i “Sistemi, apparecchiature, ″assiemi elettronici″ di specifica applicazione, moduli e circuiti integrati che assicurano la ″sicurezza dell’informazione″, come segue, e loro altri componenti appositamente progettati” qualora siano stati:

  1. progettati o modificati per utilizzare la ″crittografia″ con l’impiego di tecniche numeriche che effettuano ogni funzione crittografica eccetto l’autenticazione o la firma digitale aventi una delle caratteristiche seguenti:
    1. le funzioni di autenticazione e di firma digitale comprendono la relativa funzione di gestione delle chiavi associate.
    2. L’autenticazione comprende tutti gli aspetti del controllo di accesso che non prevedono la cifratura di archivi o testi, salvo che questi non siano collegati alla protezione delle parole d’ordine, dei numeri di identificazione personali (PIN) o di dati similari al fine di prevenire l’accesso non autorizzato.
    3. La ″crittografia″ non comprende tecniche di compressione o di codifica di dati ″fissi″. Nota:5A002.a.1 - comprende le apparecchiature progettate o modificate per utilizzare la ″crittografia″secondo principi analogici laddove questi ultimi vengano attuati con tecniche numeriche.
    1. a)un ″algoritmo simmetrico″ utilizzante una lunghezza di chiave superiore a 56 bit  
    2. b)[…] 
  2.  progettati o modificati per effettuare le funzioni crittoanalitiche;
  3. soppresso;

  4. appositamente progettati o modificati per ridurre le emanazioni compromettenti di segnali portatori di informazioni al di là di quanto richiesto dalle norme in materia di salute, di sicurezza o di interferenza elettromagnetica;
  5. progettati o modificati per utilizzare tecniche crittografiche per generare il codice di estensione peri sistemi con ″spettro esteso″ diversi da quelli specificati in 5A002.a.6., compreso il codice per il salto di frequenza per i sistemi con ″salti di frequenza″;

  6. progettati o modificati per utilizzare tecniche crittografiche per generare codici di canalizzazione,di rimescolamento o di identificazione di rete per i sistemi che utilizzano tecniche di modulazione a banda ultra larga, aventi una delle caratteristiche seguenti:
        • banda passante superiore a 500 MHz; o
        • banda passante frazionaria″ uguale o superiore al 20 %;
  7. Sistemi e dispositivi di sicurezza per la tecnologia dell’informazione e della comunicazione non crittografica (ICT) valutati ad un livello di garanzia superiore alla classe EAL-6 (livello di garanzia della valutazione) dei criteri comuni (CC) o equivalente;
  8. sistemi di cavi di telecomunicazioni progettati o modificati per rivelare intrusioni surrettizie con impiego di mezzi meccanici elettrici o elettronici;
  9. progettati o modificati per utilizzare la ″crittografia quantistica  

 Riconducendo la normativa al caso che ci interessa, i “Sistemi, apparecchiature, ″assiemi elettronici″ di specifica applicazione” di cripto dinamica, in primis quelli finalizzati alle applicazioni per SMS/MMS – ma ora vi si può noverare ed introdurre nella disamina e nella valutazione anche le comunicazioni telematiche [e-mail] - è ragionevole presumere che potrebbero ricorrere una o più condizioni previste nei punti 1.1,1.2,1.3.

Tuttavia la nota 5AOO2.a.1 con la specifica funzione di chiarire e definire il perimetro delle limitazioni precisa alla lettera a) che le tecniche numeriche attraverso le quali si effettuano funzioni crittografiche, non vengono tutte escluse di default ( w quindi sottoposte sempre ad autorizzazione ), ma ciò accade solo per quelle [tecniche] che si basino su principi analogici che utilizzino tecniche numeriche che diano lugo ad “ algoritmo simmetrico utilizzante una lunghezza di chiave superiore a 56 bit”.

Residua, dunque, quale questione dirimente l’utilizzo di un algoritmo simmetrico e di chiave superiore a 56 bit.

La società committente ha chiarito allo scrivente advisor che la propria tecnologia sviluppata sulla base del patent, ed i prodotti cripto dinamici si baseranno su chiavi inferiori a 56 bit, in ogni caso; ciò sia per le comunicazioni telematiche ed i files ad esse connessi allegati o collegati, ed ancor più per le telecomunicazioni, attraverso sms – mms.

 Va detto conclusivamente, che ove la società committente decidesse di pervenire ai propri prodotti attraverso una tecnologia che generi chivi simmetriche supeirori a 56 bit, la attività non sarebbe del tutto preclusa o inibita, in quanto di per sé illecita, illegittima o contraria alle leggi e/o ai regolamenti; essa potrà essere ben svolta ed esercitata, previa la richiesta e l’ottenimento delle previste autorizzazioni.

L’esigenza di atti autorizzativi, peraltro, non appare del tutto esclusa fin d’ora per l’esportazione verso taluni Paesi ritenuti a rischio e verso i quali la comunità internazionale serba particolare attenzione, ed particolarmente ne riserva la Comunità europea, quali Nigeria, Nord Corea, Iran.

Per quest’ultimo, per il quale vi è già una specifica normativa restrittiva (Regolamento CE n. 1228/2009; D.Lgs. n. 64/2009) si andrà verso una sorta di embargo. La proposta è rendere tutti i beni duali dell’all. 1 Reg. 428, inesportabili e vietati verso l’Iran. Verranno maggiormente controllati anche i traffici verso i Paesi Canaglia”, dell’area Mediterranea, che in qualche modo, in seguito a segnalazioni sospette, potrebbero fare da corridoio per i Paesi sopra citati.

Per un approfondimento della normativa e della modulistica connessa alla richiesta di autorizzazione per l’esportazione di prodotti a duplice uso, si rinvia al sito web http://www.mincomes.it/dualuse/dualuse.htm.

*** *** ***

3 - Compatibilità “Criptodinamica” con la normativa in tema di esportazione di prodotti e tecnologie a duplice uso verso Paesi della Comunità europea, dal suo esterno

Si utile e sufficiente riportare una tabella riassuntiva dei livelli di limitazioni all’importazione verso l’Unione Europea, dei prodotti connessi alla crittografia in vari paesi del mondo. I livelli di limitazione vengono convenzionalmente suddividono in categorie: “verde” equivale a nessuna restrizione; “giallo” equivale a necessità di autorizzazione governativa all’importazione; “rosso” equivale a totale restrizione all’importazione.

Paese

Status

 

Bahrain

Giallo

 

Belarus

Rosso

 

Cambodia

Giallo

 

Egypt

Giallo

 

Ghana

Verde

 

Hong Kong

Verde/Giallo

 

Hungary

Verde/Giallo

 

Iran

Giallo

 

Khazakstan

Giallo

 

Latvia

Giallo

 

Moldova

Giallo

 

Mongolia

Rosso

 

Morocco

Giallo

 

Myanmar (Burma)

Rosso

 

Pakistan

Giallo

 

Saudi Arabia

Rosso http://rechten.uvt.nl/koops/cryptolaw/cls2.htm - sau

 

Singapore

Green

 

South Africa

Verde/Giallo

 

South Korea

Giallo

 

Tunisia

Giallo/Rosso

 

Ukraine

Giallo

 

Vietnam

Giallo

 

Nello specifico, occorre soffermarsi su taluni Paesi che corrispondono a potenziali vasti mercati per l’attività della società committente, volutamente esclusi dalla precedente lista al fine del seguente approfondimento.

CINA

In Cina sussistono ad oggi formali restrizioni normative in tema di import, export, vendita e uso di tecnologia connessa alla crittografia. Nel dicembre 2009 il State Encryption Management Bureau (SEMB) ed il General Administration of Customs (GAC) hanno emanato congiuntamente il Catalogue for the Administration of Import of Encryption Products and Equipment Containing Encryption Technology (First Batch). L’organo governativo che sovrintende al rilascio delle autorizzazioni indicate nel suddetto catalogo è il SEMB. La normativa oggi in vigore dispone, inoltre, che l’autorizzazione sia richiesta anche nel caso in cui un prodotto tecnologico basato sulla crittografia non sia compreso nel catalogo.

Sebbene si tratti di una normativa molto restrittiva, comunque ad oggi i soggetti economici cinesi e le agenzie governative hanno ordinariamente omesso di applicarla.

 USA

Negli Stati Uniti sussistono oggi solo medie restrizioni normative in tema di export di tecnologia connessa alla crittografia. Le tecnologie a base crittografica con lunghezza di chiave che eccede 64 bit ora possono essere esportate dopo una semplice revisione di 30 gg. da parte del Bureau of Industry and Security – US Department of Commerce (BIS). Ai Paesi UE e ad altri otto Paesi (Australia, Repubblica ceca, Ungheria, Giappone, Nuova Zelanda, Norvegia, Polonia, Svizzera), gli stessi prodotti possono essere immediatamente esportati, dopo che la richiesta di revisione sia stata registrata presso il BIS. Occorre sottolineare che un ruolo primario in tema di commercializzazione della crittografia è svolto dal National Security Agency (NSA), il quale svolge un ruolo di consulente per il BIS e per il Department of Commerce.

Sebbene si tratti di una normativa non molto restrittiva, comunque ad oggi i soggetti economici statunitensi e le agenzie governative la applicano attentamente. Le applicazioni di crittografia, comunque, non troverebbero particolari problemi autorizzativi se esportate da società USA.

 RUSSIA

La politica russa appare similare alle politiche di Cina ed Israele con licenze richieste per importazione ed uso nazionale di prodotti di cifratura. Diversamente dai Paesi citati, comunque, la Russia è una partecipante alla Convenzione di Wassenaar. L’esportazione di prodotti crittografici dalla Russia generalmente richiede una licenza.

 ISRAELE

L’importazione ed esportazione di crittografia richiede una licenza del Direttore generale del Ministero di Difesa, coadiuvato da un comitato consultivo. Il Direttore generale può accordare una licenza generale all’export per una certa tipologia di prodotto crittografato. Non si riscontra nelle normative specifici limiti sulla grandezza-lunghezza della chiave. Le licenze sono accordate caso per caso.

Nel complesso, comunque, si può definire il sistema israeliano di controllo come fortemente limitativo all’import/export di prodotti su base crittografica.

 INDIA

L’India richiede una licenza di importazione per i produttori di applicazioni crittografiche. L’importazione di software di crittografia non detiene limitazioni normative.

 BRASILE

Non vi sono in Brasile controlli connessi all’esportazione o importazione di prodotti connessi alla crittografia; il Brasile non è parte dell’accordo di Wassenaar.

 CANADA

Non ci sono restrizioni su importazione ed uso nazionale di prodotti di cifratura in Canada. La politica di esportazione canadese appare in concordanza con le politiche di paesi come Stati Uniti, Regno Unito, ed Australia nel senso che il Canada’s Communications Security Establishment (CSE) coopera con le autorità corrispondenti nei paesi menzionati.

 AUSTRALIA

Non ci sono restrizioni su importazione e uso nazionale di prodotti connessi alla crittografia, ma l’esportazione è controllata dal Reparto di Difesa, nel rispetto della Convenzione di Wassenaar.

*** *** ***

4 - Recovery key – disponibilità delle chiavi

 Un problema essenziale connesso all’utilizzo delle applicazioni di criptodinamica nel campo delle telecomunicazioni (SMS/MMS) è quello della tenuta a disposizione delle chiavi generate secondo le normative vigenti.

Nello specifico, il problema che si pone per gli operatori che erogano servizi su sistemi crittografici – e nel caso in esame attraverso criptodinamica per alla telecomunicazioni non in vocefonia (SMS/MMS) - è quello del mantenere nel tempo un archivio delle transazioni effettuate, ai fini di controlli da parte della magistratura o delle forze di polizia ed in generale delle autorità governative.

Sul punto va osservato come si intersechino in ambito Comunitario moltepili normative: Direttiva 95/46/CE relativa al trattamento dei dati personali; la Direttiva 2002/58/CE relativa al trattamento dei dati personali nelle comunicazioni elettroniche; la Direttiva 2006/24/CE volta a modificare parzialmente la precedente Direttiva 2002/58/CE e a dettare una specifica disciplina del trattamento dati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

Da tali Direttive, non immediatamente applicabili all’interno dei singoli Paesi, in quanto non aventi il carattere di self-executing, sono sorte leggi di diritto interno e Nazionale, attuative e di dettaglio.

Per quanto riguarda specificatamente il servizio di crittografia erogabile via SMS/MMS la Direttiva di maggiore interesse è da considerarsi la 2006/24/CE.

Al suo articolo 1 è esplicitato il campo di applicazione: “1. La presente direttiva ha l’obiettivo di armonizzare le disposizioni degli Stati membri relative agli obblighi, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, relativi alla conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale. 2.

La presente direttiva si applica ai dati relativi al traffico e ai dati relativiall’ubicazione delle persone sia fisiche che giuridiche, e ai dati connessi necessari per identificare l’abbonato o l’utente registrato. Non si applica al contenuto delle comunicazioni elettroniche, ivi incluse le informazioni consultate utilizzando una rete di comunicazioni elettroniche”.

I dati da conservare, in base all’art. 5 della Direttiva in esame, sono dunque quelli necessari per rintracciare e identificare la fonte e la destinazione di una comunicazione, per l’accesso Internet, posta elettronica su Internet e telefonia via Internet; i dati per determinare la data-ora-durata di una comunicazione, il tipo di comunicazione, le attrezzature di comunicazione degli utenti, i dati necessari per determinare l’ubicazione delle apparecchiature di comunicazione mobile.

La Direttiva, esclude, però al comma 2 dell’art. 5 la conservazione di dati attinenti al contenuto della comunicazione: “A norma della presente direttiva, non può essere conservato alcun dato relativo al contenuto della comunicazione”.

Ciò evidentemente assume rilevanza determinante e decisiva in relazione alle applicazioni della criptodinamica orientate applicate alla telefonia (SMS/MMS) ed alle telecomunicazioni via web.

In base all’art. 6 della Direttiva, inoltre, gli Stati membri devono provvedere affinché le citate categorie di dati siano conservate per periodi non inferiori a 6 mesi e non superiori a 2 anni dalla data di comunicazione.

Infine, norma di particolare interesse, è quella contenuta nell’art. 4, ove si legge che le procedure da seguire e le condizioni da rispettare per avere accesso ai dati conservati in conformità dei criteri di necessità e di proporzionalità sono definite da ogni Stato membro nella legislazione nazionale. In italia, ad esempio, si è avuta attuazione della Direttiva con D.Lgs. n. 109/2008.

Da quanto ora detto, consegue che in ambito europeo il fornitore di servizi di cripto dinamica connessi alle telecomunicazioni dovrà in futuro sottostare alle normative nazionali applicative della Direttiva 2006/24/CE.

La società committente, come ha già chiarito all’adivisor, dovrà detenere per il periordo previsto dalle norme, le chiavi di criptazione (recovery key) al fine di renderle disponibili ad eventuali autorità richiedenti.

Tenuto conto di quanto disposto dal citato comma 2 dell’art. 5, non sussisterebbe da un punto di vista normativo in quanto la Direttiva impedisce totalmente al fornitore di servizi il mantenimento di dati riguardanti il contenuto delle comunicazioni e, quindi, anche degli strumenti (chiavi) che comportino la decriptazione del contenuto delle comunicazioni: “A norma della presente direttiva, non può essere conservato alcun dato relativo al contenuto della comunicazione”.

L’assolutezza del principio di tutela della privacy nelle comunicazioni, in conclusione, permette ai fornitori di servizi di cripto dinamica applicata alle telecomunicazioni di non sottostare ad obblighi di conservazione delle chiavi per consentire l’accesso ai dati relativi al tempo, all’individuazione dei soggetti ed alla loro ubicazione, inerenti le comunicazioni telefoniche “non in voce” e quelle telematiche – email, o attraverso files sotto qualsiasi forma generati.

* * *

5 - Compatibilità della “Criptodinamica” applicata agli eBooks

La commercializzazione dell’applicazione della criptodninamica all’eBook non presenta nessun problema o particolarità normativo-applicativa. L’utente che si connette per scegliere un e-book da leggere formula la propria richiesta e, una volta conclusa la transazione, ha diritto ad utilizzare il canale telematico per sfogliare il testo prescelto per il tempo contrattualizzato: da ciò consegue in ambito europeo l’applicazione, essenzialmente, della normativa in tema di commercio elettronico.

La disciplina è rinvenibile nella Direttiva CE n. 31/2000.

Per quanto attiene invece l’utilizzo specifico di tecnologia crittografica applicata agli eBook, in ambito europeo la Direttiva 2001/29/CE all’art. 6 dispone che i singoli Stati membri devono prevedere un’adeguata protezione giuridica contro l’elusione di efficaci misure tecnologiche (come la cripto dinamica), svolta da persone consapevoli, o che si possano ragionevolmente presumere consapevoli, finalizzate all’elusione del diritto di autore (ad esempio nel caso dell’eBook). Detto con altre parole, la Direttiva attribuisce agli Autori degli eBook la possibilità di utilizzare misure tecnologiche, proprio come la cripto dinamica, per impedire la lesione del diritto d’autore.

Tanto è dovuto in virtù dell’incarico conferito.

 




Torna all'elenco dei pareri

 
ang-bot-sx spacer ang-bot-dx
ang-top-sx spacer ang-top-dx
  studio legale tasca
MILANO 20129, Piazza Cinque Giornate n.3 Tel: (39) 0254100378 - 5466066
ROMA 00195, Via XX Settembre n.26 Tel: (39) 06 42016234 - 42391396

Partita Iva: 11157430155
 
ang-bot-sx   ang-bot-dx